加密硬体钱包龙头 Ledger 在上周推出「助记词恢复功能」后引发公关危机,近日官方多次出面回应用户问题,表示新功能将暂缓推出,并将公司产品逐步开源。多间冷钱包公司也趁机推出优惠方案,试图从 Ledger 的危机中获取更多用户。
(Ledger 最新功能争议:Ledger助记词恢复功能争议整理|社群担心哪些潜在风险?为了「赚钱」才推此功能?)
Ledger Community: We've heard your feedback on Ledger Recover.
To share an update and discuss the top items we heard, we're holding a town hall with our leadership team @_pgauthier, @iancr, @P3b7_, & @BTChip on Tuesday at 6:30pm CEST/12:30pm EST.https://t.co/qfhxPKbHjk
— Ledger (@Ledger) May 22, 2023
Ledger 助记词恢复功能争议,开源问题待解决
据先前报导,Ledger 推出的助记词恢复功能是个可选择的订阅服务,透过将加密的助记词给不同的第三方机构托管,帮助用户在遗失助记词时,能借由身份验证重获钱包控制权。
然而此功能发布后,身份验证的可靠性、Ledger 的资安风控水准被加密社群强烈抨击,多数人认为此功能不够安全不该使用,并且与冷钱包核心理念背道而驰:「你的私钥绝不会离开你的装置」。
虽然 Ledger 官方于事后强调此功能不会有任何的后门,在进行助记词恢复时,未经用户于装置上同意前不会有任何事情发生。但此功能的程式码并非开源,因此也无法审计此功能的安全性。
另外,根据资安公司 SlowMist 执行长余弦的 Twitter,关于硬体钱包公司是否有能力透过升级韧体 (firmware) 来提取用户钱包私钥的问题,Keystone 及 OneKey 两家冷钱包厂商皆给出正面回应。
理论上,从技术角度来看,硬体钱包厂商有能力透过升级韧体来提取用户钱包私钥。因此,程式码开源与否对冷钱包公司相当重要,这代表他们的产品是可审计的,也能更加确保钱包安全性。
Ledger 新功能暂缓推出,逐步开源操作系统
根据 CoinDesk 的报导,在 Ledger 新功能引发大量争议后,其执行长 Pascal Gauthier 在给用户的信中回应了社群的质疑。
Pascal 表示在新功能的程式码公布前不会推出新功能,并称 Ledger 的部分程式码先前已开源,且决定加速开源的速度。
另外,在昨日 (23) 晚间的官方 AMA 中,Ledger 技术长 Charles Guillemet 提及在韧体方面,先前已开源了 cryptolib,应用程式及 SDK 也已开源多年。
「我们将从 Ledger Recover 协议的白皮书开始,然后我们会发布韧体的助记词恢复功能程式码。最后,将逐渐开源更多部分的操作系统。」Charles Guillemet 说道。
多间冷钱包竞争公司祭出优惠政策,抢占市场份额
在 Ledger 正深陷产品危机的当下,其他冷钱包公司纷纷推出优惠政策以获取从 Ledger 流失的份额。另外,不约而同地,这些冷钱包公司皆强调自己的产品皆是开源的,明显是在说明与 Ledger 之间的差异。
以下是各公司近期推出的优惠 (部分已结束):
- Blockstream:Jade 冷钱包 10% 优惠。
- Trezor:冷钱包 15% 优惠。
- Keystone:冷钱包 23% 优惠。
- OneKey:冷钱包买大送小。
